| 通过IPsec进行访问过滤 |
| 张悦 |
|
IPsec是Windows 中提供的一种安全功能,其目的有两个,一个是对数据进行加密,另一个是对访问进行筛选,其实可以这样说IPsec是一个不带地址转换功能的防火墙。
那么在本文下面就来看看如何功过IPsec来进行对计算机的设置,为了便于大家理解,这里就假设有一台IIS的WEB服务器并且此服务器提供的外部访问端口是1666,并且只可以让IP地址是192.168.X.X网段的计算机对他进行访问,其具体的操作如下:
一、建立过滤列表
首先完成WEB服务器的建立,然后在站点属性窗口中设置访问端口是1666。然后重新启动IIS使设置生效,接着在服务器的运行窗口中输入“gpedit.msc”启动组策略管理器,在组策略管理器中展开“计算机配置/Windows 设置/安全设置/IP安全设置,在本地计算机上”,此时在右边可以看到一些项,不过这里我们并不使用他们。接着在右边的空白处右击,在出现的菜单上点击“管理IP筛选器表和筛选器操作”菜单。
接着出现“管理IP筛选器表和筛选器操作”窗口,在窗口中选择“管理IP筛选器表”标签中的添加按钮,,随后出现添加窗口,在添加窗口中为这个筛选器表起个名字,比如“WEB进入”,然后再点击“添加”窗口,此时会看到一个向导。
在向导中的“源地址”中选择“一个特定的子网”,然后在下面的IP信息中输入IP地址为192.168.0.0,掩码为255.255.0.0,接着点“下一步”,在“目标地址”中选择“我的IP地址”也就是服务器的IP地址。接着选择“TCP”协议,接着选择“到此端口”并输入1666,这样就完成了列表的建立,上面的步骤就表示凡是192.168网段的计算机都可以访问此服务器。但是IPsec有个弱点,就是他没有默认的拒绝功能,也就是除了上面的列表外,我们还要建立一个阻止列表。
其步骤和前面基本相同,只是在“源地址”中要选择“任何IP地址”,在协议中选择“任意”,最后完成此列表建立,并为此列表起一个名字比如“全部访问”。
二、建立筛选器
在完成了列表建立后,就该建立筛选器了,由于筛选器中有了一个“许可”筛选器,所以只要在建立一个“阻止”筛选器,就可以了,其方法是:
在“管理筛选器操作”标签中点“添加”按纽,在出现的向导输入筛选器名字,然后选择“阻止”就完成筛选器的建立了。
三、启动IPsec
接着就该开始建立并启动IPsec的安全保护功能,其方法是在完成上面步骤后,在“管理IP筛选器表和筛选器操作”菜单中点“创建创建IP安全策略”菜单,随后输入一个名字,并一路下一步,随后将打开一个属性窗口。
在属性窗口中点“添加”按钮,出现一向导,依次选择“此规则不指定隧道”、“所有网络类型”、“Kerberos V5” ,随后可以看见前面建立的列表,此时选择“WEB进入”后点“下一步”接着会看到筛选器,此时选择“允许”最后完成该向导。
随后再次在属性窗口中点“添加”按钮,重复上面的操作,只是在列表选择时选择“全部访问”,在选择筛选器的时候选择“阻止”。
在完成上面操作后,在次查看就会发现在原来的窗口右边会多了一个策略,此时右击该策略,并点“指派”菜单 ,这样新的策略就被启动。
四、总结
对于策略的操作步骤总结为“建立列表——建立筛选器——建立策略——使用向导添加列表和筛选器”。另外在本文中建立了两个列表,一个是“WEB进入”用来表示可以访问服务器的计算机有那些,另一个是“全部进入”用来表示所有的计算机都可以访问服务器,其实这两个并不矛盾。前者使用的筛选器是允许,后者使用的筛选器是阻止,这是因为IPsec没有默认的拒绝访问操作,当建立了后者后,那么IPsec会按照最大安全话来控制访问。由于“WEB进入”的安全话大于“全部进入”,所以策略会成功,此时在“WEB进入”列表以外的计算机就无法访问这个服务器了。
另外要注意的是如果在选择“Kerberos V5”的时候,计算机不是域服务器,或没加入域,那么会得到一个提示窗口,不过大家不用理会,在提示窗口中点“是”按钮就可以了。
|
|
文章检索
软件>热门文章
|